Cercetatorii din domeniul securitatii web au descoperit un nou backdoor care vizeaza instantele Apache de pe serverele cPanel. Atacatorii au inlocuit fisierul binar Apache cu unul malware, astfel incat acum este aproape imposibil de detectat.
cPanel este un panou de control utilizat in industria de hosting pentru a controla crearea si administrarea functiilor esentiale ale domeniilor web, prin intermediul unei interfete grafice. Backend-ul serverului este controlat prin WHM, in timp ce cPanel controleaza functiile de baza ale domeniilor, cum ar fi conturile de e-mail, FTP si accesul la directoare. Spre deosebire de instantele LAMP, in cazul cPanel, Apache este instalat fara manageri de pachete.
In timp ce backdoor-ul in sine functioneaza in acelasi mod ca cel despre care am scris intr-un articol anterior, atacatorii au modificat aceasta cea mai recenta versiune astfel incat a devenit aproape imposibil de detectat. Prin urmare, metodele anterioare de detectare devin practic inutile, deoarece nu vor gasi nimic iesit din comun.
Malware-ul a fost detectat pentru prima data de Sucuri, o firma dedicata combaterii amenintarilor web, care se concentreaza pe masuri defensive si preventive, precum si pe constientizarea amenintarilor existente. Sucuri a apelat la ESET pentru ajutor suplimentar, cele doua companii descoperind astfel cat de departe sunt dispusi sa mearga atacatorii pentru a compromite nucleul Apache.
Scopul acestui nou backdoor Apache ramane acelasi, si anume sa redirectioneze vizitatorii catre Blackhole Exploit Kit, folosind o metoda creativa pentru a face acest lucru. Victimele sunt alese la intamplare si numai o singura data. De asemenea, atacatorii si-au luat masuri de precautie pentru a evita infectarea sau redirectionarea utilizatorilor cu drepturi administrative, in scopul de a evita detectarea.